KOBİ’lere VERBİS Muafiyeti: 50 Çalışan ve 25 Milyon TL Sınırı (Karar: 2018/87)
Kişisel Verilerin Korunması Kanunu (KVKK) kapsamında en çok merak edilen konulardan biri, hangi işletmelerin Veri Sorumluları Siciline (VERBİS) kayıt olmak zorunda olduğudur. Kurul, 19/07/2018 tarihli ve 2018/87 sayılı kararı ile küçük ve orta ölçekli işletmeler (KOBİ) için hayati bir “ekonomik eşik” belirleyerek, belirli kriterlerin altındaki veri sorumlularını sicil yükümlülüğünden muaf tutmuştur.
VERBİS Kayıt İstisnası İçin İki Temel Kriter
Kurul, işletmelerin idari yükünü azaltmak amacıyla “çalışan sayısı” ve “mali bilanço” verilerini objektif kriter olarak belirlemiştir. Bu karara göre, aşağıdaki iki şartı aynı anda taşıyan veri sorumluları VERBİS’e kayıt olmak zorunda değildir:
- Yıllık çalışan sayısı 50’den az olanlar.
- Yıllık mali bilanço toplamı 25 milyon TL’den az olanlar. (Not: Bu tutar ilerleyen yıllarda Kurul tarafından güncellenmiştir, ancak 2018/87 sayılı temel karar bu baremi belirlemiştir.)
“Ana Faaliyet Konusu” İstisnası: Sağlık ve Diğer Hassas Veriler
Bu muafiyetin çok kritik bir istisnası bulunmaktadır: Özel Nitelikli Kişisel Veri İşleme. Eğer bir işletmenin ana faaliyet konusu özel nitelikli kişisel veri (özellikle sağlık verileri, biyometrik veriler vb.) işlemek ise, çalışan sayısı veya cirosu ne olursa olsun VERBİS’e kayıt olmak zorundadır.
- Örneğin: Sadece 3 çalışanı olan bir poliklinik veya eczane, ana faaliyeti sağlık verisi işlemek olduğu için bu muafiyetten yararlanamaz ve VERBİS’e kayıt olmalıdır.
- Örneğin: 40 çalışanı ve 10 milyon TL cirosu olan bir tekstil fabrikası, ana faaliyeti hassas veri işlemek olmadığı için muafiyet kapsamındadır.
Özgür Eralp Perspektifi: “Muafiyet Sizi Sorumluluktan Kurtarmaz”
Bilişim hukuku alanındaki 25 yıllık tecrübemizde ve hazırladığımız bilirkişi raporlarında en büyük yanılgının “VERBİS’e kayıtlı değilim, o halde KVKK beni bağlamaz” düşüncesi olduğunu görüyoruz. Bu, hukuken yapılabilecek en tehlikeli hatadır. VERBİS istisnası sadece bir “sicil kaydı” muafiyetidir.
İşletmenizde tek bir personelin bile verisini işliyorsanız; aydınlatma yapma, veri güvenliğini sağlama ve imha politikası oluşturma yükümlülüğünüz aynen devam eder. Olası bir veri sızıntısında veya şikayette, Kurul size “Neden VERBİS’e kayıt olmadın?” diye sormaz ama “Neden bu veriyi korumadın?” diyerek 12. madde üzerinden ağır cezalar kesebilir. Unutmayın; dijital dünyada veri, küçük işletmeler için de büyük bir sorumluluktur.
Sıkça Sorulan Sorular
1. 45 çalışanım var ama yıllık bilançom 30 milyon TL. Kayıt olmalı mıyım?
Evet. Muafiyet için hem çalışan sayısının 50’den az hem de mali bilançonun belirlenen sınırın altında olması gerekir. Şartlardan biri aşılırsa kayıt yükümlülüğü doğar.
2. Şirketim muafiyet kapsamında, yine de veri envanteri hazırlamalı mıyım?
Hukuken envanteri VERBİS’e yükleme zorunluluğunuz yoktur. Ancak KVKK uyum sürecini doğru yönetmek ve hesap verebilirlik ilkesini sağlamak için iç işleyişinizde bir envanter bulundurmanız şiddetle tavsiye edilir.
3. Bir doktor muayenehanesi 50 kişiden az çalışanı olduğu için muaf mıdır?
Hayır. Doktorlar, eczaneler ve tıp merkezleri gibi ana faaliyeti “özel nitelikli veri (sağlık)” işlemek olanlar, ekonomik büyüklüklerine bakılmaksızın kayıt yükümlüsüdür.
4. “Mali bilanço” derken cirodan mı bahsediliyor?
Hayır. Mali bilanço, şirketin aktif toplamını ifade eder. Gelir tablosundaki ciro (net satışlar) ile karıştırılmamalıdır.
5. Bu sınırlara uymayan ancak kayıt olmayanlara ne ceza verilir?
Sicile kayıt ve bildirim yükümlülüğüne aykırı hareket edenlere, Kanun’un 18. maddesi uyarınca ciddi idari para cezaları uygulanmaktadır.
Kaynaklar
- KVKK Kurumu – 2018/87 Sayılı Karar Metni
- 6698 Sayılı Kişisel Verilerin Korunması Kanunu (Madde 16)
- Veri Sorumluları Sicili Hakkında Yönetmelik
- Kişisel Veri Güvenliği Rehberi
- Resmi Gazete Arşivi
Avukat-Hukuk Danışmanı,
Dijital İçerik oluşturucu,
Kitle fonlama girişimci ve yatırımcısı,
ODTÜ Felsefe Öğrencisi:)
AÖF Yönetim Bilişim Sistemleri Öğrencisi:),